LastPass werkt accounts bij. Dit zijn de redenen.

Misschien hebt u de afgelopen tijd gemerkt dat we onze klanten vragen om bepaalde wijzigingen door te voeren voor hun LastPass-accounts. Onder andere vragen we onze klanten om hun de lengte en sterkte van hun hoofdwachtwoord te verbeteren om te voldoen aan nieuwe aanbevolen best practices, en om hun meervoudige verificatie opnieuw te configureren. Al deze wijzigingen zijn bedoeld om de online veiligheid van onze klanten te verbeteren. Graag delen we een paar achtergronden met u over de ontwikkelingen op het gebied van cyberbedreigingen. Zo kunt u beter begrijpen waarom we u vragen deze updates door te voeren, en waarom deze wijzigingen zo belangrijk zijn. We lichten een paar recente wijzigingen toe en leggen uit wat hierachter zit. Daarnaast leggen we uit hoe deze updates uw beveiliging versterken. Bijgewerkte vereisten voor hoofdwachtwoorden Waarom doen we dit? Als het gaat om wachtwoordbeveiliging en digitale weerbaarheid, is meer simpelweg beter. Maar meer van wat? De sterkte van een wachtwoord hangt onder andere af van het aantal tekens, hoe ingewikkeld het is, en hoe onvoorspelbaar het is. De huidige richtlijnen (NIST 800-3B) van het National Institute of Standards and Technology (NIST) vereisen dat wachtwoorden die worden aangemaakt door mensen, minstens 8 tekens bevatten. Maar de afgelopen tijd is de technologie om wachtwoorden te kraken een stuk sterker geworden, en mensen hebben de neiging om wachtwoorden aan te maken die ze goed kunnen onthouden. Dat maakt wachtwoorden voorspelbaarder. Daarom raden we aan om een veel langer wachtwoord te gebruiken. De nieuwe vereiste voor de lengte van uw LastPass-hoofdwachtwoord is slechts één van onze initiatieven voor een betere beveiliging tegen de cyberbedreigingen van nu en die van de toekomst. Sinds 2018 was het de standaard aanbeveling van LastPass om een hoofdwachtwoord met minimaal 12 tekens te gebruiken. Maar klanten die dat wilden, konden deze standaard instelling negeren en een korter wachtwoord aanmaken. Nu dwingen we echter af dat het hoofdwachtwoord minimaal 12 tekens moet bevatten. Daarnaast hebben we het aantal PBKDF2-iteraties begin dit jaar verhoogd. Zo helpen we onze klanten proactief om sterkere en weerbaardere encryptiesleutels te maken voor de toegang tot hun LastPass-kluis en voor de versleuteling van hun gegevens. Meer informatie over de nieuwe vereisten Vanaf april 2023 vereisen we dat alle nieuwe klanten van LastPass een hoofdwachtwoord van minimaal 12 tekens instellen. Daarnaast werd deze vereiste ook al doorgevoerd als bestaande klanten hun hoofdwachtwoord wilden bijwerken. Vanaf januari 2024 zal LastPass de vereiste van minimaal 12 tekens voor het hoofdwachtwoord voor alle klanten doorvoeren. Hiervoor zijn er twee scenario's mogelijk bij de aanmelding:

• Klanten die bevestigen dat hun hoofdwachtwoord al 12 tekens of langer is, voldoen al aan het nieuwe beleid. Ze hoeven verder niets te doen.
• Klanten die nog niet voldoen aan het nieuwe beleid, moeten een nieuw hoofdwachtwoord aanmaken van 12 of meer tekens.

Voor klanten die hun hoofdwachtwoord moeten bijwerken, hebben we hier een lijst met best practices. Dit zijn de richtlijnen die zich hebben bewezen om een zo sterk mogelijk wachtwoord te maken:

• De minimum vereiste is 12 tekens, maar langer is beter
• Gebruik hoofdletters, kleine letters, cijfers en speciale tekens
• Maak een wachtwoord dat u kunt onthouden, maar dat niet makkelijk te raden is (bijv. een wachtwoordzin)
• Zorg dat het uniek is en alleen op uzelf betrekking heeft
• Gebruik uw e-mailadres (of een variatie hiervan) niet als hoofdwachtwoord
• Verwerk geen persoonlijke gegevens in uw hoofdwachtwoord
• Gebruik geen opeenvolgende tekens (zoals “1234”) of herhaalde tekens (zoals “aaaa”)
• Gebruik uw hoofdwachtwoord alleen voor LastPass en absoluut nergens anders

Waarom heeft LastPass mij nog niet gevraagd om mijn hoofdwachtwoord te wijzigen? We rollen dit beleid gefaseerd uit voor al onze klanten. Als eerste ontvangen onze klanten met LastPass Free, Premium of Families een e-mail. Eind januari sturen we ook e-mails aan onze klanten met LastPass Teams of Business. Klanten van LastPass kunnen zelf kiezen hoeveel tijd er tussen hun aanmeldingen mag zitten, voordat ze hun hoofdwachtwoord opnieuw moeten invoeren. Dat verhoogt het gebruiksgemak. Doordat mensen hiervoor verschillende intervallen hebben ingesteld, kunnen we niet precies zeggen wanneer al onze klanten voldoen aan de nieuwe vereiste. Stel accountherstel in voordat u uw hoofdwachtwoord wijzigt Instructies om uw hoofdwachtwoord te wijzigen Controle: staan nieuwe hoofdwachtwoorden op het dark web? Vanaf volgende maand begint LastPass ook met directe controles, waarbij we nagaan of nieuwe of herstelde wachtwoorden voorkomen in een database van aanmeldingsgegevens, waarvan bekend is dat ze gelekt zijn. Kortom: we kijken of de gekozen wachtwoorden niet al eerder op het dark web zijn verschenen. Als cybercriminelen het wachtwoord bij een eerder lek al hebben kunnen bemachtigen, verschijnt een beveiligingswaarschuwing. Zo weten onze klanten direct dat het wachtwoord dat ze wilden instellen, niet veilig is. Ze moeten dan een ander wachtwoord instellen om verder te kunnen gaan. Waarom doen we dit?  Simpel: als een wachtwoord al bekend is bij cybercriminelen, kunnen ze het makkelijk kraken. Moderne software om wachtwoorden te kraken, kan onder andere gebruik maken van lijsten met bekende wachtwoorden. Zo kunnen cybercriminelen de toegangsgegevens voor een account veel sneller achterhalen. Door ervoor te zorgen dat onze klanten een wachtwoord kiezen dat niet al eerder gekraakt of gestolen is, maken we het hackers een stuk lastiger. Wat is monitoring van het dark web? Instructies om monitoring van het dark web in te schakelen in LastPass Hernieuwde configuratie bij meervoudige verificatie (MFA) In mei 2023 is LastPass begonnen met het stroomlijnen van de hernieuwde MFA-registratie voor klanten van LastPass Business (zonder federatieve aanmelding), die gebruik maken van gangbare verificatie-apps als Microsoft Authenticator, Google Authenticator of LastPass Authenticator. De hernieuwde registratie voor verificatie met Grid wordt ook binnenkort uitgerold, en klanten krijgen de optie om opnieuw te registreren met Microsoft of Google. Waarom doen we dit?  In onze communicatie van maart 2023 over het beveiligingsincident, hadden we al toegelicht dat een reset van MFA nodig is. Hiermee worden namelijk effectief eventuele restrisico's geëlimineerd, die waren ontstaan door de blootstelling van de databaseback-up van LastPass voor MFA/federatieve aanmelding. Als u dit nog niet had gedaan, initieer dan een handmatige hernieuwde registratie van MFA voor gebruikers zonder federatieve aanmelding. In ons Beveiligingsbericht vindt u hiervoor gedetailleerde instructies. Ter afsluiting We voeren deze wijzigingen door als reactie op de continu veranderende cyberbedreigingen, met als doel om de veiligheid van onze klanten te vergroten. LastPass vraagt u niet zonder goede reden om uw account bij te werken. We streven er altijd naar om die reden transparant duidelijk te maken. Volg de blogposts van LastPass Labs voor updates over toekomstige wijzigingen en de meest recente informatie over de bedreigingen voor verificatiemethoden, onze branche en onze klanten.